Los fraudes con códigos QR falsos en espacios públicos están ganando terreno y abren una nueva vía para el robo de datos bancarios, credenciales de acceso y la instalación de archivos maliciosos en teléfonos móviles. Esta técnica, conocida en el ámbito de la ciberseguridad como quishing, se basa en sustituir un código legítimo por otro manipulado que redirige a una web fraudulenta.
La mecánica es simple y difícil de detectar a primera vista. Los estafadores colocan etiquetas adhesivas sobre códigos reales en puntos de uso habitual y consiguen que la víctima crea que está entrando en una plataforma oficial de pago o de servicio. En realidad, termina entregando sus datos a atacantes o iniciando la descarga de contenido infectado.
Parquímetros, menús y puntos de carga entre los soportes más expuestos
Entre los lugares donde se está detectando esta práctica figuran parquímetros, menús digitales de restaurantes y tótems de carga. Son entornos de alta circulación, con usuarios que actúan con prisa y que muchas veces escanean sin revisar el soporte físico ni comprobar el destino real del enlace.
Ese es uno de los principales problemas. A diferencia de un enlace de texto, el código QR no muestra de forma visible a qué dirección lleva antes de abrirlo. Esa opacidad facilita el engaño y da margen a los delincuentes para camuflar páginas de phishing o de suplantación de identidad.
Además, los atacantes recurren a enlaces acortados para ocultar direcciones sospechosas. Ese sistema no solo dificulta que el usuario identifique una URL anómala, también complica la respuesta de algunos filtros automáticos de seguridad diseñados para bloquear páginas asociadas al robo de identidad.
Riesgo para cuentas bancarias, móviles y también entornos de trabajo
El impacto no se limita al vaciado de cuentas o al uso indebido de tarjetas. Tras escanear un QR manipulado, el usuario puede ser inducido a introducir credenciales bancarias o a descargar archivos con virus. En escenarios más graves, la apertura del sitio fraudulento puede activar una descarga silenciosa de malware capaz de seguir la actividad del dispositivo de forma remota.
El alcance del problema va más allá del ámbito financiero. Un móvil puede acabar concediendo permisos de acceso a la cámara, al micrófono o a la lista de contactos después de interactuar con una página maliciosa. Eso convierte el fraude en una puerta de entrada tanto para dispositivos personales como para redes corporativas si el terminal afectado está vinculado al entorno de trabajo.
Cómo detectar una manipulación antes de escanear
La primera medida de precaución pasa por inspeccionar físicamente el código antes de usarlo. Una etiqueta superpuesta sobre otra, una impresión de baja calidad o un adhesivo mal colocado son señales de alerta que pueden indicar una manipulación.
También conviene utilizar la aplicación de cámara nativa del teléfono, ya que en muchos casos ofrece una vista previa del enlace antes de abrir el navegador. Ese paso permite revisar la dirección y frenar la acción si el dominio resulta extraño o no coincide con el servicio esperado.
La recomendación es clara. No hacer pagos ni introducir datos sensibles a través de códigos QR situados en lugares públicos muy transitados y sin supervisión. Si existen dudas sobre la autenticidad, lo más prudente es escribir manualmente en el navegador la dirección oficial de la empresa o del servicio.
Otro indicio relevante es la solicitud inmediata de credenciales o contraseñas tras el escaneo. Las empresas legítimas rara vez piden ese tipo de información de forma directa nada más acceder mediante un QR, por lo que esa petición debe hacer saltar las alarmas.
Más controles tecnológicos y protección física
Las plataformas de seguridad empiezan a incorporar escáneres de QR capaces de analizar en tiempo real la reputación del sitio de destino. Es una capa adicional de defensa, aunque no sustituye la verificación visual ni la cautela del usuario.
En paralelo, entidades financieras y establecimientos comerciales están siendo orientados a implantar códigos con sistemas extra de verificación o cubiertas protectoras que dificulten la manipulación física. La clave sigue estando en combinar medidas técnicas con prevención básica, porque en un gesto tan cotidiano como escanear para pagar o consultar un menú puede esconderse una estafa difícil de detectar si no se revisa antes el entorno y el enlace al que conduce.